22. November 2023
Zahl der DDoS-Angriffe steigt
In den vergangenen zwölf Monaten sind den Unternehmen in Deutschland rund 150 Milliarden Euro Schaden durch Cyberattacken entstanden. Die Gefahr von Angriffen im digitalen Raum ist so präsent wie nie. Aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland 2023 des BSI geht hervor, dass die wachsende Professionalisierung der Täter einer der Gründe für die steigende Zahl an Angriffen ist. Es geht längst nicht mehr um den Ausfall einzelner Computer oder IT-Systeme, sondern um die Geschäftsfähigkeit ganzer Unternehmen und Organisationen.
Im Zeitraum des Berichts hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) täglich etwa 250.000 neue Varianten von Schadprogrammen und 21.000 Systeme, die mit Schadsoftware infiziert sind, registriert. Darüber hinaus wurden durchschnittlich 70 neue Sicherheitslücken pro Tag identifiziert, von denen die Hälfte als hoch oder kritisch eingestuft wurde. Dies entspricht einer Zunahme von 24 Prozent im Vergleich zum Vorjahr.
Wiederholt wurden im Berichtszeitraum auch öffentliche Einrichtungen gezielt mit DDoS-Attacken angegriffen. Bisher hielt sich der Schaden dabei zwar in Grenzen, aber die Wahrscheinlichkeit ist groß, dass sich das in naher Zukunft ändern wird.
Weltweiter Anstieg von DDoS-Angriffen
Laut den Sicherheitsexperten von Netscout wurden allein in der ersten Jahreshälfte 2023 rund 7,9 Millionen DDoS-Angriffe gestartet. Das entspricht einem Anstieg von 31 Prozent gegenüber dem Vorjahr.
Globale Konflikte (wie z.B. der Russland-Ukraine-Krieg) beeinflussen die Bedrohungslage und führen zu mehr DDoS-Angriffen, die zunehmend als Waffe im Cyberkrieg eingesetzt werden. Angriffe auf globale, kritische Infrastrukturen werden vor allem den Energiesektor, Banken und Finanzen sowie das Gesundheitswesen vermehrt betreffen. Aber auch der Ausbau von 5G-Netzwerken begünstigt die steigende Zahl an Angriffen.
Bereits im vierten Quartal 2022 wehrten Unternehmen durchschnittlich 29 Angriffe pro Tag ab.
Die Angreifer selbst verändern ihre Ansätze ständig, um dynamischer zu werden und den Schutzmaßnahmen einen Schritt voraus zu sein. Nicht selten machen sie sich maßgeschneiderte Infrastrukturen zunutze. Die Angriffe werden stärker, häufiger und komplexer. Außerdem umfassen sie immer mehr Angriffsvektoren, auch gleichzeitig in sogenannten Multi-Vektor-Attacken.
Eine Variante ist beispielsweise ein schneller Anstieg der Angriffslast auf ein kritisches Niveau. Dadurch können Angreifer Netzwerksysteme lahmlegen, bevor herkömmliche Schutz- und Abwehrmaßnahmen greifen können.
DNS-Water-Torture- und Carpet-Bombing-Angriffe nehmen ebenfalls spürbar zu. So sind beispielsweise die Carpet-Bombing-Angriffe allein in der ersten Jahreshälfte 2023 um 55 Prozent gestiegen auf schätzungsweise mehr als 724 pro Tag, während die DNS-Water-Torture-Angriffe um fast 353 Prozent gestiegen sind. Meist werden hunderte oder sogar tausende Hosts gleichzeitig angegriffen. Diese Taktik vermeidet, dass bei hohen Bandbreitenschwellen ein Alarm ausgelöst wird und rechtzeitig mit der Abwehr von DDoS-Attacken begonnen werden kann.
Deshalb greifen einige Security-Teams auf Threat Intelligence Feeds zurück, um ihre Netzwerke zu schützen.
Info: Threat Intelligence Feeds sind kontinuierlich aktualisierte Datenströme, die Informationen über aktuelle Bedrohungen und Angriffe aus verschiedenen Quellen bereitstellen. Diese Feeds enthalten Daten, die Organisationen dabei helfen können, ihre Cybersecurity-Verteidigungen zu verbessern, Bedrohungen zu erkennen und darauf zu reagieren. Sie stammen üblicherweise von Organisationen, die sich auf Cybersecurity spezialisiert haben. Die Informationen in Threat Intelligence Feeds können sowohl strukturierte Daten (wie IP-Adressen, Domänen, Signaturen) als auch unstrukturierte Daten (wie Bedrohungsanalysen, Sicherheitsmeldungen, Forschungsberichte) umfassen. Im Bereich DDoS-Schutz gehören zu diesen Daten beispielsweise Merkmale bekannter DDoS-Angriffe.
Grundlagen von DDoS-Angriffen
DDoS steht für Distributed Denial of Service. Das Ziel ist es, die Erreichbarkeit eines Dienstes oder einer Website durch gezielte Überlastung stark einzuschränken oder sogar einen kompletten Ausfall zu bewirken. Das Ziel der Angriffe können Server aber auch andere Netzkomponenten sein.
DDoS-Attacken erfolgen häufig über Botnets, die schon lange im Voraus durch das Verteilen von Backdoor-Programmen aufgebaut werden. Ein Botnet ist ein Netzwerk von Computern mit genügend Rechenleistung, um einen schwerwiegenden Angriff starten zu können. Über die Schadsoftware können infizierte Systeme ohne Wissen des Besitzers ferngesteuert werden. Je größer das Botnet, desto wirksamer die Attacke. Es gibt große Botnets, die aus hunderttausenden Computern weltweit bestehen.
Ein Mastersystem erteilt den Rechnern im Botnet den Befehl, ein bestimmtes Ziel mit Anfragen zu überschwemmen, um den Angriff zu starten. Für den angegriffenen Server stammen die Anfragen von vielen verschiedenen Systemen aus der ganzen Welt. Die Attacke durch das Sperren von Rechnern oder IP-Adressen abzuwehren, wird demzufolge quasi unmöglich.
Die Folgen von DDoS-Angriffen reichen von erheblichen wirtschaftlichen Schäden bis hin zu Imageverlust und unzufriedenen Nutzern und Kunden.
Der Unterschied zwischen DoS-, DRDoS- und DDoS-Angriffen
Im Gegensatz zu DDoS-Angriffen wird bei einer DoS-Attacke (Denial of Service) die Überlastung der IT-Infrastruktur gezielt von einem einzelnen Host ausgeführt. Das Ziel ist aber auch hier, die verfügbaren Ressourcen, wie Bandbreite, CPU-Zeit, Speicher oder Netzwerkverbindungen, zu überlasten. Dies führt dazu, dass das System nicht mehr in der Lage ist, legitime Anfragen angemessen zu bedienen.
Bei DRDoS-Angriffen (Distributed Reflected Denial of Service) stammt die Attacke von regulär arbeitenden Internetdiensten. Dieser Angriffstyp kombiniert Elemente von DDoS (Distributed Denial of Service) und Amplification-Angriffen. Bei einem DRDoS-Angriff nutzt der Angreifer eine Vielzahl von kompromittierten oder falsch konfigurierten Servern, um den Verkehr zu verstärken und das Angriffsziel zu überfluten.
Abwehr- und Schutzstrategien
Mit Blick auf die aktuellen globalen Entwicklungen sowie die ständigen Veränderungen in der IT-Welt (z.B. in Bezug auf künstliche Intelligenz) werden sich die Angriffsvarianten immer weiter entwickeln und verändern. Aber das tun auch die Sicherheitsmaßnahmen und Abwehrmöglichkeiten. Es ist ein ständiger Wettlauf zwischen Angreifern und Verteidigern, der seinen Höhepunkt wahrscheinlich noch lange nicht erreicht hat.
Deshalb ist es von vorrangiger Bedeutung, sich bestmöglich gegen Angriffe zu wappnen und sämtliche IT-Systeme zu gut wie möglich abzusichern.
Viele Unternehmen machen es Angreifern unbewusst leicht, indem sie Sicherheitsupdates vernachlässigen. Es gibt neben regelmäßigen Updates einige organisatorische, technologische und prozessuale Maßnahmen, die zur Sicherheit Ihrer Systeme beitragen.
Setzen Sie auf ein starkes Identity & Access Management. Analysieren Sie im Vorfeld, welche Dienste als potenzielle Angriffsziele dienen könnten. Diese Dienste sollten anschließend einer fortlaufenden Überwachung (Monitoring) unterliegen. Dies ermöglicht es Ihnen, Abweichungen von den definierten Grenzwerten oder Raten zu erkennen. Wenn möglich, verteilen Sie die Dienste auf verschiedene Netzwerke, um sicherzustellen, dass im Falle eines Angriffs lediglich ein Teil Ihrer Infrastruktur betroffen ist. Sichern Sie diese Netzwerke zusätzlich gegen Überlastungen ab, beispielsweise durch den Einsatz von Load-Balancing-Technologien und ausreichender Bandbreite. Zusätzliche Möglichkeiten erklären wir Ihnen in unserem Wissensartikel zu DoS- und DDoS-Angriffen.
Wichtig ist: gegen DDoS-Attacken gibt es keinen hundertprozentigen Schutz, gerade dann, wenn Angreifer mehrere Methoden miteinander kombinieren. Aber Sie können Maßnahmen implementieren, um DDoS-Angriffen vorzubeugen und diese zu erschweren, um im Ernstfall schnell reagieren zu können und den Schaden möglichst gering zu halten.